Fase 2 0 Seguranca Em Tecnologia da Informação Avaliação 4 7 670 218

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:423463) ( peso.:3,00) 
Prova: 7670218 
Nota da Prova: 10,00 
Gabarito da Prova: Resposta Certa Sua Resposta Errada 
1. Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das 
organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação 
(SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os 
resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão 
reconhecido internacionalmente. Assinale a alternativa CORRETA: 
a) ISO/IEC 13335. 
b) ISO 4217. 
c) BS/ISO 9001. 
d) BS 7799-2. 
 
2. Devido à sua importância, os sistemas de informações de uma empresa devem ser muito bem 
protegidos. Para avaliar se os controles são eficazes, e assim mensurar se estão ou não 
vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor focará na 
avaliação da eficácia dos controles em prevenir e detectar possíveis ameaças. Para facilitar o 
trabalho do auditor, algumas técnicas de auditoria assistida por computador podem ser aplicadas 
em algumas tarefas. Quais são essas tarefas? 
a) Testes de controles específicos e amostragem. 
b) Testes geral de transações, analítico e amostragem. 
c) Testes de controles gerais, testes de detalhes de transações, analítico e substantivo e 
amostragem. 
d) Testes de controles específicos, testes geral de transações, analítico e substantivo e 
amostragem. 
 
3. Quando duas pessoas, Alice e Bob, querem trocar mensagens entre si e garantir que nenhum 
intermediário consiga interceptar as mensagens e entendê-las, uma das alternativas é a utilização 
de criptografia. Com relação à criptografia, analise as afirmativas a seguir: 
 
I- Uma mensagem em texto plano é cifrada através de um algoritmo de criptografia (chave) e 
somente pode ser desencriptada com a utilização do mesmo algoritmo. 
II- A combinação da autenticação e da criptografia constituem os chamados canais seguros, que 
fornecem serviços de segurança para as tecnologias de comunicação existentes. 
III- A utilização de firewalls é essencial para a eficiência das chaves utilizadas na criptografia de 
mensagens. 
IV- A tecnologia de autenticação, parte componente dos canais seguros, consiste na utilização 
de informações de login e senha por parte dos usuários que quiserem se comunicar. 
 
Assinale a alternativa CORRETA: 
a) As afirmativas I e II estão corretas. 
b) As afirmativas I e IV estão corretas. 
c) As afirmativas I, II e IV estão corretas. 
d) As afirmativas II, III e IV estão corretas. 
 
4. A construção de um PCN, em sua fase de planejamento, deve compreender algumas importantes 
tarefas para que sua composição atenda plenamente aos requisitos de segurança e retomada de 
atividades. É fundamental que os processos críticos sejam identificados, que a análise e a 
classificação dos impactos sejam devidamente realizadas, que a documentação necessária seja 
gerada, assim como o treinamento e a conscientização de pessoal. Sobre a análise e a 
classificação dos impactos, assinale a alternativa CORRETA que apresenta o nome da 
ferramenta de apoio para esta atividade: 
a) BRP. 
b) BIA. 
c) CM. 
d) EP. 
 
5. As ferramentas generalistas de auditoria são programas que podem ser utilizados pelo auditor 
para, entre outras funções, simular, analisar amostras, processar, gerar dados estatísticos, 
sumarizar, apontar duplicidade. Além disso, esses softwares têm como vantagens a capacidade 
de processar diversos arquivos ao mesmo tempo, além de poder processar vários tipos de 
arquivos em vários formatos. Existem diversos programas para essas finalidades, com base 
nesses sistemas, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Interactive Data Extraction & Analisys (IDEA) é um software para extração e análise de 
dados. 
( ) Audit Command Language (ACL) é um software que auxilia auditores internos e externos 
na realização de testes em arquivos de dados. 
( ) Audit Support Data (ASD) é um software de apoio aos auditores para análise de dados. 
( ) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve 
consultoria e dá suporte sobre o produto. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
a) F - F - V - V. 
b) V - F - F - V. 
c) F - V - V - F. 
d) V - V - F - V. 
 
6. A gestão do risco representa uma das etapas mais importantes no estabelecimento de uma 
política de segurança de tecnologia da informação, possibilitando o estabelecimento de 
prioridades de segurança com base em fatores como probabilidade de ocorrência e impacto na 
organização. Com relação à gestão de riscos, classifique V para as sentenças verdadeiras e F 
para as falsas: 
 
( ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se 
concretizar ou minimizam o grau de vulnerabilidade de determinado ativo. 
( ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista em caso de 
mudança de algum recurso computacional de hardware ou software. 
( ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência de um 
evento ou para tratá-lo após sua ocorrência deve considerar como um dos principais critérios a 
relação custo/benefício. Por via de regra, não se gasta um valor superior ao do ativo com 
medidas de segurança para o mesmo. 
( ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas: gravidade do 
impacto e probabilidade de ocorrência do incidente, representa um método qualitativo de 
avaliação de riscos. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
a) F - V - F - V. 
b) V - F - F - V. 
c) V - F - V - V. 
d) V - F - V - F. 
 
7. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a 
integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever 
claramente o comprometimento da alta direção. Além disso, os elementos de uma política de 
segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos 
essenciais para a definição da PSI, analise as sentenças a seguir: 
 
I- Os funcionários da organização devem compreender a importância da sua segurança, essa 
atitude refere-se ao elemento vigilância. 
II- A postura é a conduta com relação à segurança, refere-se ao elemento postura. 
III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da 
política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças. 
IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as 
necessidades estratégicas da organização. 
 
Agora, assinale a alternativa CORRETA: 
a) Somente a sentença III está correta. 
b) As sentenças II, III e IV estão corretas. 
c) As sentenças I, III e IV estão corretas. 
d) As sentenças I, II e IV estão corretas. 
 
8. O auditor que atua com os sistemas de informação possui a formação como qualquer outro 
auditor, o que diferencia as funções são as ferramentas tecnológicas utilizadas para auditar os 
equipamentos e os sistemas de informação. O principal controle da auditoria está em controles 
internos, verificar e analisar se os controles internos estão implementados de forma correta. A 
auditoria possui alguns princípios e objetivos que o tornam mais competitivos. Sobre esses 
princípios, análise as seguintes opções: 
 
I- Níveis de riscos reduzidos e melhor eficiência com custos reduzidos. 
II- Serviços automatizados, com qualidade e reconhecidos no mercado. 
III- Disponibilizar serviços lógicos, físicos e auditar os registros de cálculos. 
IV- Utilização de variáveis estatísticas e matemáticasnas amostras encontradas. 
 
Agora, assinale a alternativa CORRETA: 
a) Somente a opção IV está correta. 
b) Somente a opção III está correta. 
c) As opções II e IV estão corretas. 
d) As opções I e II estão corretas. 
 
9. É de conhecimento que os incidentes geram prejuízos financeiros para as organizações. Eles 
ocasionam perdas ou degradações ao ambiente, ou ambos, sendo que seus efeitos são percebidos 
através da avaliação dos impactos causados. Estes impactos, por sua vez, são classificados com 
relação à influência exercida sobre os aspectos de confidencialidade, integridade e 
disponibilidade. Avalie os efeitos relacionados a seguir: 
 
I- Perda significante dos principais ativos e recursos. 
II- Impossibilidade de continuar com as atividades de negócio. 
III- Perda dos principais ativos e recursos. 
IV- Perda de alguns dos principais ativos e recursos. 
 
Com relação a categoria, assinale a alternativa CORRETA que apresenta, respectivamente, a 
classificação dos impactos dos efeitos citados: 
a) Alto, Médio, Médio, Baixo. 
b) Médio, Médio, Baixo e Baixo. 
c) Médio, Alto, Médio e Médio. 
d) Alto, Alto, Médio e Baixo. 
 
10. Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os 
salários de todos os funcionários que estava armazenada em um computador (o servidor de 
arquivos) tenha sido acessada por usuários que não tinham autorização. Eles apenas 
visualizaram as informações contidas nesta planilha, mas não as modificaram. Neste caso, um 
princípio da segurança da informação comprometido com esse incidente. Sobre o exposto, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível. 
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação. 
( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem. 
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário 
devido. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
a) V - V - F - F. 
b) V - F - F - V. 
c) F - V - V - F. 
d) F - F - V - V. 
 
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) 
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma 
dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios 
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode 
ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da 
empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A 
fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a 
possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso 
elaborar: 
a) Plano de negócio de gerenciamento de projetos. 
b) Plano de contingência. 
c) Plano de negócio de gerência de riscos. 
d) Plano de negócio. 
 
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança 
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação 
a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e 
uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa 
ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado 
como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do 
qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
a) III e IV. 
b) II, III e IV. 
c) I e II. 
d) I, II e III.